苏州农商银行：SD-WAN（软件定义广域网）项目

来源：第五届农村中小金融机构科技创新优秀案例评选

一、项目背景

不同时代下，银行业务模式都在不断变革。当前在大数据、人工智能等前沿科技的驱动下，转变在进一步加速。作为全国第四家农商银行、A股上市企业，苏州农商行，开始积极探索业务与金融科技的深度融合。通过对服务模式的不断创新，满足客户的多元化的业务需求。

为保障核心业务7*24小时无中断，重要数据不丢失，苏州农商行数据中心已建设完成苏州本地双数据中心+泰州异地灾备中心的“两地三中心”基础架构。随着网点规模的不断扩大及业务创新，苏州农商行网点业务从单一交易类业务向互联网金融业务快速转变，出现了一大批如“智能超柜”、“人脸识别”等新型金融应用，流量构成进一步复杂化，而这些新型应用，都需要网络来“扛”，当前多数据中心和分行之间广域网建设面临诸多挑战。

因此，苏州农商行与深信服达成合作，通过部署深信服SD-WAN解决方案，大幅度提升业务访问体验及带宽利用率，可视化运维管理全行广域网，实现网络架构全新升级。

二、项目架构

本次苏州农商行数据中心与分支行广域网建设，基于当前MSTP物理线路，在每个分支行均构建了两条可访问到数据中心业务SD-WAN隧道，自学习隧道质量并实现基于应用层面的流量智能调度及优化传输，同时所有SD-WAN设备均可接入控制器集中远程管理，有效解决了当前苏州农商行多地数据中心面临的扩容压力大、应用体验差、运维效率低等问题。

三、创新点

软件定义广域网SD-WAN进行试点部署及全面推广，依赖SD-WAN组网方案实现以下成果。

1.通过多链路聚合、负载，同时利用多条线路带宽，提升带宽利用率，从而节省带宽开销；

2.基于应用的多路径智能选路，能够完成业务系统应用级别的选路；

3.实时监控线路状态，针对关键应用选择最佳线路，能够保障核心应用传输质量；

4.集中管理平台可以提供集中管理、大屏展示、策略下发等功能，极大简化了分支网点的维护操作，同时提供统一流量和应用实时查控、线路质量、设备性能实时监控；

四、技术实现特点

4.1 网络设计

4.1.1 Underlay路由设计

Underlay网络为SDWAN提供基础承载通道。在支行的网络环境中，选择MSTP专线作为广域网Underlay承载链路。整体方案保持Underlay底层路由不变的情况下，数据中心SDWAN路由器跟核心路由器跑动态OSPF路由进行业务引流，支行SDWAN设备直接网关部署。

OSPF路由规划如下：

主备数据中心广域网所有设备建立OSPF的邻居关系，区域ID为0；

在主备中心广域网接入交换机和分支网点设备之间建立OSPF邻居关系，区域ID由每个网点递增选择（1-255）

所有分支网点的业务路由均作为外部路由重分布进入行内。

OSPF cost设计如下：

主备数据中心广域网内部接口设置为cost 10；

主数据中心广域网与核心互联接口划分为cost 10,备数据中心广域网与核心互联接口划分为cost 20；

分支网点主线路与主数据中心互联接口设置为cost 100，备线路与备数据中心互联接口设置为cost 200；

流量引导：

支行-数据中心

确保各SDWAN路由器的WAN口之间Underlay路由可达，按照行内正常路由宣告WAN口网段和重发布直连即可，不需要再添加静态路由。

根据cost值设计，流量优先走主数据中心，当主中心故障时才切至备中心。

4.1.2 Overlay网络设计

组网模式

在Underlay路由可达的基础上，采用VPN 、GRE、BGP等技术构建轻便、安全和高效的SDWAN Overlay网络。最终，网络管理员只需在控制器上通过图形化界面输入相关参数，就可实现网络的自动创建，避免人工配置的复杂性。

Overlay层面采用HUB-Spoke组网模式，其中Hub设备为数据中心侧SDWAN-WOC，网关模式部署旁挂在广域网汇聚交换机上。支行侧SDWAN设备作为Spoke设备，Hub与Spoke设备间通过建立VPN隧道满足Overlay层面的数据交互，Hub设备作为全网隧道的终结点。

路由设计数据中心Hub节点

主备数据中心侧SDWAN-WOC在Underlay层面与广域网区域接入交换机跑OSPF路由，动态学习底层路由。在Underlay层面全网路由可达的前提下，支行设备与数据中心侧设备使用SangforVPN构建起Overlay层面。Overlay层面跑BGP路由，将通过OSPF学习到数据中心的路由重发布进BGP（Overlay）层面。根据OSPF COST值设计，主数据中心的路由只会从主数据中心WOC重发布至BGP（Overlay）层面传递给网点，备数据中心同理。

为了避免产生迭代路由，保证数据中心侧获取网点路由是通过BGP学习，因此在主数据中心的LAN口，通过写ACL的方式将LAN口in方向的网点路由进行过滤。备数据中心同理。

为了实现主备数据中心Overlay层面分流，将主备数据中心网段重发布至BGP传递给网点时，设置metric值。默认优先全部走主数据中心，因此在主数据中心Overlay层面传递所有路由给网点，并且设置metric值为20。需要优先走备数据中心Overlay层面的路由，通过匹配ACL列表，并且设置metric为10，当网点学到去往备中心路由时会比较metric值，由于从备中心学习到metric值更低，所以匹配ACL列表中的路由条目会优选备数据中心

支行Spoke节点

支行内网网段划分为多个VLAN，SDWAN WOC作为网关设备，所有VLAN网关均在SDWAN WOC上。支行网关设备Underlay层面跑OSPF路由，将内网网段通过重发布直连的方式发布至OSPF实现支行与数据中心的Underlay层面互通。支行设备连接数据中心BBC时，为了避免Overlay层面震荡，导致BBC上误报，因此将接入BBC的Loopback口进行过滤。同时将VPNTUN、Loopback及WAN口均从Overlay层面过滤掉。其余内网业务网段正常通过Overlay层面传递路由，实现Overlay层面的互通。

4.2 技术优势

1.易部署

深信服SD-WAN易部署采用了邮件开局方式，支持在总部端提前配置好分支基础网络、总部接入等信息，将配置加密存储在URL链接中发送给分支管理员。通过分支管理员手动点击该链接，配置将自动完成，实施的分支管理员即使没有任何IT经验，也可在邮件内容的指导下轻松完成上架部署。

云端注册开局（业内首创），BBC云端易部署页面，管理员输入订单号、客户名称、个人邮箱等信息，会收到包含待开局设备清单、云图账号信息的邮件；管理员预编排网络，配置设备上网，全自动部署上线。

2.AutoVPN

AutoVPN基于BBC对总部与分支设备的配置下发实现分支与总部的VPN自动连接组网，极大降低配置交互的复杂性，并能良好兼容老VPN客户升级和接入到BBC，实现AutoVPN的统一配置管理。

3.内置多种网络流量智能调度引擎

BEST智能流量调度引擎，基于不同业务SLA需求，实现全自动流量智能调度传输；

Sofast链路丢包优化引擎，基于不同业务对丢包敏感度，结合链路实时丢包情况，优化访问体验；

Qos全局应用流控技术，基于业务重要程度，进行优先级编排，并设置核心业务带宽保障策略。

4.丰富智能选路策略，满足多种业务场景需求

Auto GO负载选路：应用种类繁多，全自动基于应用类型、优先级及线路SLA质量选择最合适的线路；

QOE质量最优选路：视频会议等核心应用实时选择最优线路进行传输，保障访问体验及业务连续性；

按剩余带宽比例负载：MAIL等大带宽类应用，高效利用多条线路剩余带宽资源传输；

指定应用指定线路选路：指定视频会议等核心应用在专线传输，FTP等非核心应用在互联网传输。

5.加固WAN安全

通过边界部署具备安全特性SD-WAN设备、支持国际标准IPSec VPN，实现数据安全加密传输、集成丰富安全特性（下一代防火墙能力及上网行为管理和审计能力），可与安全态势感知平台联动，实现广域网立体保护。

五、项目过程管理

1.需求分析和概要设计阶段

此阶段时间段为2020年9月至2020年10月，其间主要完成了广域网建设需求分析，SD-WAN组网方案设计。提交了主备中心和分支SD-WAN组网设计初步方案。

2.SD-WAN 组网详细设计阶段

此阶段起始时间为2020年9月至2020年10月，其间主要完成了SD-WAN组网详细设计方案，提交了SD-WAN组网设计方案和交付方案等文档。

3.测试和上线准备阶段

此阶段起始时间为2020年11月02日至2020年11月06日，其间完成了功能测试以及主备数据中心预配置上线准备工作，提交了SD-WAN功能测试报告、上线方案、产品配置手册等文档。

4.试点行上线阶段

此阶段起始时间为2020年11月06日至2020年11月18日，其间完成了原广域网区割接至SDW广域网上线，并根据试点行上线运行的情况，为推广实施提出了优化需求。

此阶段起始时间为2020年11月至2021年2月，对三个分支网点试点分行分批推广上线，具体如下：

第一批 苏州湾试点支行网点接入调试上线：2020年12月19日

第二批中山支行网点切换SDW上线上线：2021年1月15日

第三批 苏州科创中心上线：2021年2月15日

5.分行网点上线计划

根据试点行运行模式和运行结果符合预期，预计2021年底完成35家网点上线。

六、运营情况

1.分支设备加入BBC集中管理，在集中管理平台配置分支网点的账号，集中对分支网点进行隧道配置下发，并可以对分支网点设备的隧道、应用流量进行可视，解决了以往流量异常无法快速追溯的问题，同时还可在隧道层面帮助运维人员快速感知链路质量及利用率，进而及时调整广域网策略。

2.核心业务优先编排，提升传输速度，我行柜面、智能超级柜台、信贷等核心业务设置了极高的传输优先级及保障带宽，避免了因非核心应用流量激增导致核心应用访问体验不佳等问题。

3.配置链路指标（时延，抖动，丢包）检测策略，当指标异常时进行链路秒级切换，避免出来链路拥塞或故障时，降低用户访问体验。

七、项目成效

1.高效利用备线资源、削减冗余流量，降低专线50%成本

智能流量调度，高效利用备线带宽：

流量调度上升至应用层面，深信服SD-WAN可通过DPI或自定义五元组识别应用流量，高频率检测链路QoE质量及带宽利用率，将应用流量调度在最优链路上传输，也可指定应用在指定链路上传输。

削减冗余流量，进一步提升带宽利用率：

深信服SD-WAN设备采用动态流压缩、基于码流特征数据优化对专网中重复冗余流量进行大幅削减，如FTP文件传输最高可削减90%冗余流量。

苏州农商行本次SD-WAN建设，在指定柜面业务、智能超级柜台、信贷等核心业务从主线路访问主数据中心同时，为非核心应用则设置了按带宽利用率选路机制，使得各分支行连接备数据中心的备用线路资源得到了有效利用。此外，专线中的冗余重复流量被大幅度削减后，带宽利用率获得了进一步提升，相当于又节省了大量的带宽扩容费用支出。

2.精细化流量管理及智能流量调度，保障99.9%SLA及高速访问体验

优先级编排保障核心业务带宽，广域网优化提升传输速度：

甄别业务种类，最高实现15级业务传输优先级编排，出现带宽抢占时，保障高优先级业务访问带宽。通过流缓存、丢包优化、应用协议代理等技术，有效提高FTP/CIFS等应用上传/下载速度，减少音视频应用卡顿模糊现象，加快HTTP/MAIL等应用响应速度。

链路拥塞或故障秒级切换，保障业务高可用：

以毫秒级为单位实时发送探测报文检测SD-WAN隧道通断状态，当链路发生故障时，可将业务流量无感知切换至其他SD-WAN隧道上传输。

苏州农商行本次SD-WAN建设，线路故障切换时间从路由收敛的普遍上百秒降低至秒级无感知切换。通过为柜面业务、智能超级柜台、信贷等核心业务设置了极高的传输优先级，在保障带宽在金融业务创新背景下，避免了因非核心应用激增流量冲击导致的核心应用访问体验不佳的问题。此外广域网优化技术的应用，也有效提升了分支行FTP、视频会议等应用访问体验。

3.轻松管理全网设备、链路、应用，降低80%运维复杂度

自动路径选择，无需人为介入：

通过设置最优选路策略，任一线路出现拥堵、故障时，业务流量均自动选择最优线路传输，无需人为介入，即可实现全局流量自动在“最佳道路上驾驶”。

可视化集中运维，全局状态实时掌控：

深信服SD-WAN可通过BBC集中管理平台实现对全网全局设备、隧道、应用流量的可视化监控，并通过远程运维、策略批量下发等方式极大简化分支的维护操作，更好地帮助运维人员管理全局业务。

八、经验总结

苏州农商行本次SD-WAN建设，线路故障自动切换完全节省了手动切换线路的工作量。并且，通过设备、隧道、应用层面的可视化实现了分支设备健康状态实时感知、快速感知链路质量及利用率、流量异常快速追溯，通过远程管理、策略下发实现了远程批量运维，改变了传统扑火式运维、出差式运维、逐台运维的窘境。

作为江苏地区的第一家农商行SD-WAN用户，苏州农商行此次通过部署深信服SD-WAN实现网络升级，可谓是基于业务的又一次创新尝试。这一次的合作也充分解决了数字时代下银行业务对于网络的质量、传输效率、容灾、以及管理的全新需求，为金融领域打造了优质网络架构的升级样本。

更多金融科技案例，请登录数字金融创新知识服务平台- 金科创新社（FintechinChina.com）官网案例库查看。